Бюллетень безопасности Adobe

Поиск

Последнее обновление 25 авг. 2022 г.

Доступно обновление системы безопасности для Adobe Acrobat и Reader | APSB22-32

Идентификатор бюллетеня	Дата публикации	Приоритет
APSB32-22	12 июля 2022 г.	2

Сводка

Компания Adobe выпустила обновления системы безопасности приложений Adobe Acrobat и Reader для Windows и macOS. В этих обновлениях устранено  несколько критических и важных уязвимостей. При успешном использовании это может привести к выполнению произвольного кода и утечке памяти.         

Затронутые версии

Продукт	Отслеживать	Затронутые версии	Платформа
Acrobat DC	Continuous	22.001.20142 и более ранние версии	Windows и macOS
Acrobat Reader DC	Continuous	22.001.20142 и более ранние версии	Windows и macOS

Acrobat 2020	Classic 2020	20.005.30334 и более ранние версии (Win) 20.005.30331 и более ранние версии (Mac)	Windows и macOS
Acrobat Reader 2020	Classic 2020	20.005.30334 и более ранние версии (Win) 20.005.30331 и более ранние версии (Mac)	Windows и macOS

Acrobat 2017	Classic 2017	17.012.30229 и более ранние версии   (Win) 17.012.30227 и более ранние версии   (Mac)	Windows и macOS
Acrobat Reader 2017	Classic 2017	17.012.30229 и более ранние версии   (Win) 17.012.30227 и более ранние версии   (Mac)	Windows и macOS

При возникновении вопросов относительно Acrobat DC посетите страницу часто задаваемых вопросов об Acrobat DC.

При возникновении вопросов относительно Acrobat Reader DC посетите страницу часто задаваемых вопросов об Acrobat Reader DC.

Решение

Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий, следуя приведенным ниже инструкциям.    

Новейшие версии продуктов пользователи могут получить одним из следующих способов:    

Пользователи могут обновлять свое программное обеспечение вручную, выбрав меню Справка > Проверить наличие обновлений.     
При обнаружении обновлений продукты будут обновляться автоматически без вмешательства пользователей.     
Полную версию установщика Acrobat Reader можно загрузить в Центре загрузки Acrobat Reader.

Для ИТ-администраторов (в управляемых средах):     

Ссылки на установщики можно найти для конкретной версии примечаний к выпуску.
Установите обновления предпочтительным способом, например с помощью AIP-GPO, начального загрузчика, SCUP/SCCM (Windows) или в macOS, с помощью удаленного рабочего стола Apple и SSH в Макинтош.

Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последней версии:   

Продукт	Отслеживать	Обновленные версии	Платформа	Рейтинг приоритета	Доступность
Acrobat DC	Continuous	22.001.20169	Windows и macOS	2	Сведения о выпуске
Acrobat Reader DC	Continuous	22.001.20169	Windows и macOS	2	Сведения о выпуске

Acrobat 2020	Classic 2020	20.005.30362	Windows  и MacOS	2	Сведения о выпуске
Acrobat Reader 2020	Classic 2020	20.005.30362	Windows  и MacOS	2	Сведения о выпуске

Acrobat 2017	Classic 2017	17.012.30249	Windows и macOS	2	Сведения о выпуске
Acrobat Reader 2017	Classic 2017	17.012.30249	Windows и macOS	2	Сведения о выпуске

Сведения об уязвимости

Категория уязвимости	Влияние уязвимости	Серьезность	Базовая оценка CVSS	Вектор CVSS	Номер CVE
Использование данных после освобождения памяти (CWE-416)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2022-34230
Использование данных после освобождения памяти (CWE-416)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2022-34229
Доступ к неинициализированному указателю (CWE-824)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2022-34228
Использование данных после освобождения памяти (CWE-416)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2022-34227
Чтение за пределами буфера (CWE-125)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2022-34226
Использование данных после освобождения памяти (CWE-416)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2022-34225
Использование данных после освобождения памяти (CWE-416)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2022-34224
Использование данных после освобождения памяти (CWE-416)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2022-34223
Чтение за пределами буфера (CWE-125)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2022-34222
Использование данных после освобождения памяти (CWE-416)	Утечка памяти	Важная	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2022-34237
Чтение за пределами буфера (CWE-125)	Утечка памяти	Важная	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2022-34238
Чтение за пределами буфера (CWE-125)	Утечка памяти	Важная	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2022-34239
Чтение за пределами буфера (CWE-125)	Утечка памяти	Важная	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2022-34236
Доступ к ресурсу с использованием несовместимого типа («путаница типов данных») (CWE-843)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2022-34221
Использование данных после освобождения памяти (CWE-416)	Утечка памяти	Важная	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2022-34234
Использование данных после освобождения памяти (CWE-416)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2022-34220
Использование данных после освобождения памяти (CWE-416)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2022-34219
Запись вне границ буфера (CWE-787)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2022-34217
Использование данных после освобождения памяти (CWE-416)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2022-34216
Использование данных после освобождения памяти (CWE-416)	Утечка памяти	Важная	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2022-34233
Чтение за пределами буфера (CWE-125)	Выполнение произвольного кода	Критическая	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2022-34215
Использование данных после освобождения памяти (CWE-416)	Утечка памяти	Важная	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2022-34232
Чтение за пределами буфера (CWE-125)	Утечка памяти	Важная	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2022-35669

Благодарности

Компания Adobe выражает благодарность следующим лицам за сообщение об этих проблемах и за помощь Adobe в защите наших клиентов: 

Мэтт Пауэл, участник программы Trend Micro Zero Day Initiative - CVE-2022-34219, CVE-2022-34232
Марк Винсент Ясон (@MarkYason), участник программы Trend Micro Zero Day Initiative - CVE-2022-34229, CVE-2022-34227, CVE-2022-34225, CVE-2022-34224, CVE-2022-34223
Суюэ Го и Вэй Ю, представители Китайского народного университета, участники программы Trend Micro Zero Day Initiative - CVE-2022-34234
Анонимный пользователь, участник программы Trend Micro Zero Day Initiative - CVE-2022-34228, CVE-2022-34222, CVE-2022-34216, CVE-2022-34215
kdot, участник программы Trend Micro Zero Day Initiative - CVE-2022-34237, CVE-2022-34238, CVE-2022-34239, CVE-2022-34236, CVE-2022-34220, CVE-2022-34217, CVE-2022-35669
Мэтт Пауэл, участник программы Trend Micro Zero Day Initiative, и Кай Лу, Zscaler ThreatLabz -CVE-2022-34233
Деннис Херрманн и Себастьян Фельдманн, участники программы Trend Micro Zero Day Initiative - CVE-2022-34226
Александр Николич, Cisco Talos - CVE-2022-34230, CVE-2022-34221